Закрыто Казино Вулкан

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Rusikone, 17 окт 2015.

Статус темы:
Закрыта.
  1. Rusikone
    Оффлайн

    Rusikone Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    При открытии любого браузера, вместе с домашней страницей вылезает сайт"казино вулкан" иногда что-то другое. Так же иногда само по себе пишется: "еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые"
    Что интересно яндекс браузер и хром вообще перестали открываться, их даже в процессах нет.
    Антивирус аваст. Делал и экспресс сканирование и полную проверку. Вирусы нашел, поудалял. Проблема осталась. Так же пытался сам удалить пользуясь программами, которые вы советуете, не получилось.
     

    Вложения:

  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('F:\autorun.inf', '');
     QuarantineFile('%TEMP%\R.vbs', '');
     QuarantineFile('C:\Users\8C74~1\AppData\Local\Temp\R.vbs', '');
     QuarantineFile('C:\Users\Татьяна\AppData\Local\valuablecoupons\valuablecoupons_stb.exe', '');
     QuarantineFile('C:\Users\Татьяна\AppData\Local\valuablecoupons\config.json', '');
     QuarantineFileF('C:\Users\Татьяна\AppData\Local\valuablecoupons', '*', true, '', 0 , 0);
     QuarantineFileF('C:\Users\Татьяна\AppData\Local\qaDqkdJsFTSNPR', '*', true, '', 0 , 0);
     QuarantineFile('C:\Users\Татьяна\AppData\Local\coupondo\config.json', '');
     QuarantineFile('C:\Users\Татьяна\AppData\Local\coupondo\coupondo_stb.exe', '');
     QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
     QuarantineFileF('C:\ProgramData\TimeTasks', '*', true, '', 0 , 0);
     QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
     QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '');
     QuarantineFileF('C:\Program Files (x86)\Zaxar', '*', true, '', 0 , 0);
     QuarantineFileF('C:\Users\Татьяна\AppData\Local\coupondo', '*', true, '', 0 , 0);
     QuarantineFile('C:\ProgramData\rVqromilipzj\HLjpQNyzuPlUB0.bat', '');
     QuarantineFileF('C:\ProgramData\rVqromilipzj', '*', true, '', 0 , 0);
     QuarantineFile('C:\ProgramData\tqjWxLvDsb\xyTbVgrlRFzg3.bat', '');
     QuarantineFileF('C:\ProgramData\tqjWxLvDsb', '*', true, '', 0 , 0);
     QuarantineFile('C:\ProgramData\AQmIMvmT\UmKRVWyTNiWptkN0.bat', '');
     QuarantineFileF('C:\ProgramData\AQmIMvmT', '*', true, '', 0 , 0);
     QuarantineFile('C:\ProgramData\qdasokQ\O5.bat', '');
     QuarantineFileF('C:\ProgramData\qdasokQ', '*', true, '', 0 , 0);
     QuarantineFile('C:\ProgramData\BOJRDt\ZZS3.bat', '');
     QuarantineFile('C:\Users\Татьяна\AppData\Local\qaDqkdJsFTSNPR\1.bat', '');
     QuarantineFile('C:\ProgramData\fsQdQFjZqptvhcU\lKmJkKBmKlmYK0.bat', '');
     QuarantineFileF('C:\ProgramData\fsQdQFjZqptvhcU', '*', true, '', 0 , 0);
     QuarantineFile('C:\ProgramData\HnyyRWLQxJyOf\ypsfbPQzzJPhaI5.bat', '');
     QuarantineFileF('C:\ProgramData\HnyyRWLQxJyOf', '*', true, '', 0 , 0);
     QuarantineFile('C:\ProgramData\yGoJPyLOF\kIyPIB0.bat', '');
     QuarantineFileF('C:\ProgramData\yGoJPyLOF', '*', true, '', 0 , 0);
     QuarantineFile('C:\ProgramData\kbcVUo\qEMdCi5.bat', '');
     QuarantineFileF('C:\ProgramData\kbcVUo', '*', true, '', 0 , 0);
     QuarantineFileF('C:\ProgramData\BOJRDt', '*', true, '', 0 , 0);
     DeleteFile('C:\ProgramData\rVqromilipzj\HLjpQNyzuPlUB0.bat', '');
     DeleteFile('C:\ProgramData\tqjWxLvDsb\xyTbVgrlRFzg3.bat', '');
     DeleteFile('C:\ProgramData\AQmIMvmT\UmKRVWyTNiWptkN0.bat', '');
     DeleteFile('C:\ProgramData\qdasokQ\O5.bat', '');
     DeleteFile('C:\ProgramData\BOJRDt\ZZS3.bat', '');
     DeleteFile('C:\Users\Татьяна\AppData\Local\qaDqkdJsFTSNPR\1.bat', '');
     DeleteFile('C:\ProgramData\fsQdQFjZqptvhcU\lKmJkKBmKlmYK0.bat', '');
     DeleteFile('C:\ProgramData\HnyyRWLQxJyOf\ypsfbPQzzJPhaI5.bat', '');
     DeleteFile('C:\ProgramData\yGoJPyLOF\kIyPIB0.bat', '');
     DeleteFile('C:\ProgramData\kbcVUo\qEMdCi5.bat', '');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
     DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
     DeleteFile('C:\ProgramData\qdasokQ\O5.bat', '32');
     DeleteFile('C:\Users\Татьяна\AppData\Local\coupondo\coupondo_stb.exe', '32');
     DeleteFile('C:\Users\Татьяна\AppData\Local\coupondo\config.json', '32');
     DeleteFile('C:\Users\Татьяна\AppData\Local\qaDqkdJsFTSNPR\1.bat', '32');
     DeleteFile('C:\Users\Татьяна\AppData\Local\valuablecoupons\config.json', '32');
     DeleteFile('C:\Users\Татьяна\AppData\Local\valuablecoupons\valuablecoupons_stb.exe', '32');
     DeleteFile('F:\autorun.inf');
     DeleteFileMask('C:\Users\Татьяна\AppData\Local\valuablecoupons', '*', true);
     DeleteFileMask('C:\Users\Татьяна\AppData\Local\qaDqkdJsFTSNPR', '*', true);
     DeleteFileMask('C:\ProgramData\TimeTasks', '*', true);
     DeleteFileMask('C:\Users\Татьяна\AppData\Local\coupondo', '*', true);
     DeleteFileMask('C:\Program Files (x86)\Zaxar', '*', true);
     DeleteFileMask('C:\ProgramData\rVqromilipzj', '*', true);
     DeleteFileMask('C:\ProgramData\tqjWxLvDsb', '*', true);
     DeleteFileMask('C:\ProgramData\AQmIMvmT', '*', true);
     DeleteFileMask('C:\ProgramData\qdasokQ', '*', true);
     DeleteFileMask('C:\ProgramData\fsQdQFjZqptvhcU', '*', true);
     DeleteFileMask('C:\ProgramData\HnyyRWLQxJyOf', '*', true);
     DeleteFileMask('C:\ProgramData\yGoJPyLOF', '*', true);
     DeleteFileMask('C:\ProgramData\kbcVUo', '*', true);
     DeleteFileMask('C:\ProgramData\BOJRDt', '*', true);
     DeleteDirectory('C:\Users\Татьяна\AppData\Local\valuablecoupons', '');
     DeleteDirectory('C:\Users\Татьяна\AppData\Local\qaDqkdJsFTSNPR', '');
     DeleteDirectory('C:\ProgramData\TimeTasks', '');
     DeleteDirectory('C:\Users\Татьяна\AppData\Local\coupondo', '');
     DeleteDirectory('C:\Program Files (x86)\Zaxar', '');
     DeleteDirectory('C:\ProgramData\rVqromilipzj', '');
     DeleteDirectory('C:\ProgramData\tqjWxLvDsb', '');
     DeleteDirectory('C:\ProgramData\AQmIMvmT', '');
     DeleteDirectory('C:\ProgramData\qdasokQ', '');
     DeleteDirectory('C:\ProgramData\fsQdQFjZqptvhcU', '');
     DeleteDirectory('C:\ProgramData\HnyyRWLQxJyOf', '');
     DeleteDirectory('C:\ProgramData\yGoJPyLOF', '');
     DeleteDirectory('C:\ProgramData\kbcVUo', '');
     DeleteDirectory('C:\ProgramData\BOJRDt', '');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Timestasks');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'coupondo');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'valuablecoupons');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Babakan');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteRepair(1);
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится.

    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Последнее редактирование: 17 окт 2015
    МАС-72 нравится это.
  3. Rusikone
    Оффлайн

    Rusikone Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    файл отправил
    вроде все удалилось, спасибо за помощь)
    что нужно делать что бы не появлялось такого впредь?
    компьютер офисный
     

    Вложения:

  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    в конце лечения получите все рекомендации.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.


    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
    МАС-72 нравится это.
  5. Rusikone
    Оффлайн

    Rusikone Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    Всё сделал
     

    Вложения:

    • SecurityCheck.txt
      Размер файла:
      8,8 КБ
      Просмотров:
      2
    • Shortcut.txt
      Размер файла:
      59 КБ
      Просмотров:
      0
    • Addition.txt
      Размер файла:
      52,9 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      60 КБ
      Просмотров:
      1
  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    + скажите скрипт сами прописали?

    Код (Text):
    cmd.exe /c @echo objShell.Run "cmd.exe /c (attrib -H -R -S %WinDir%\system32\GroupPolicy\Machine\Registry.pol)&(copy/b/y %WinDir%\system32\GroupPolicy\Machine\R %WinDir%\system32\GroupPolicy\Machine\Registry.pol > nul)&(gpupdate/force)&(attrib +R %WinDir%\system32\GroupPolicy\Machine\Registry.pol)", 0, True >> %TEMP%\R.vbs
     
  7. Rusikone
    Оффлайн

    Rusikone Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    нет, ничего не прописывал
     
  8. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    AlternateDataStreams: C:\WINDOWS\notepad.exe:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\actxprxy.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\appidapi.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\appidsvc.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\atmfd.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\atmlib.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\authui.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\basesrv.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\consent.exe:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\csrsrv.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\davclnt.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\diagtrack.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\DWrite.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\FntCache.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\gdi32.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\iepeers.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\InkEd.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\mousecpl.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\msln.exe:3ca025e56a67bf7af68d7e310e52a7c2
    AlternateDataStreams: C:\WINDOWS\system32\mstscax.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\msxml3.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\msxml6.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\netcfgx.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\notepad.exe:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\PresentationCFFRasterizerNative_v0300.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\profsvc.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\rdvidcrl.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\schedsvc.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\schtasks.exe:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\SettingsHandlers.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\SettingSync.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\shacct.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\sysmain.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\taskeng.exe:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\tdh.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\TiltWheelMouse.exe:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\tzsync.exe:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\UtcResources.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\WebClnt.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\win32k.sys:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\Windows.UI.Xaml.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\actxprxy.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\appidapi.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\atmfd.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\atmlib.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\authui.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\davclnt.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\DWrite.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\FileOps.exe:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\gdi32.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\HHActiveX.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\InkEd.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\MsChrt20.ocx:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\mstscax.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\msxml3.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\msxml6.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\netcfgx.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\notepad.exe:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\PresentationCFFRasterizerNative_v0300.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\rdvidcrl.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\RoboEx32.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\schtasks.exe:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\SER9PL.sys:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\SettingSync.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\shacct.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\taskeng.exe:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\tdh.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\WebClnt.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.UI.Immersive.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.UI.Xaml.dll:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\Drivers\FWPKCLNT.SYS:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\Drivers\mountmgr.sys:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\Drivers\ndis.sys:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\Drivers\tcpip.sys:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\Drivers\t_mouse.sys:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\Drivers\WdBoot.sys:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\Drivers\WdFilter.sys:$CmdTcID
    AlternateDataStreams: C:\WINDOWS\system32\Drivers\WdNisDrv.sys:$CmdTcID
    AlternateDataStreams: C:\Users\Гость\Downloads\DriverToolkitInstaller.exe:$CmdTcID
    AlternateDataStreams: C:\Users\Гость\Downloads\DriverToolkitInstaller.exe:$CmdZnID
    AlternateDataStreams: C:\Users\Гость\Downloads\DriverUpdaterPro.exe:$CmdTcID
    AlternateDataStreams: C:\Users\Гость\Downloads\DriverUpdaterPro.exe:$CmdZnID
    AlternateDataStreams: C:\Users\Гость\Downloads\XeroxWorkCentre5019_prndriver.rar.exe:$CmdTcID
    AlternateDataStreams: C:\Users\Гость\Downloads\XeroxWorkCentre5019_prndriver.rar.exe:$CmdZnID
    HKU\S-1-5-21-4197729374-2725245904-4086804370-1001\...\StartupApproved\Run: => "swg"
    HKLM\...\StartupApproved\Run32: => "Timestasks"
    HKLM\...\StartupApproved\Run32: => "ZaxarGameBrowser"
    Task: {4346DB89-4516-4971-AEA9-6C2C6D4415BA} - System32\Tasks\RestoreSearch => cmd.exe /c @echo Set objShell = WScript.CreateObject("WScript.Shell") &gt; %TEMP%\R.vbs
    HKU\S-1-5-21-4197729374-2725245904-4086804370-1001\...\Run: [C] => C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol [1086 2015-10-12] ()
    HKU\S-1-5-21-4197729374-2725245904-4086804370-1001\...\Policies\system: [DisableCMD] 0
    HKU\S-1-5-21-4197729374-2725245904-4086804370-1001\...\Policies\Explorer: []
    HKU\S-1-5-21-4197729374-2725245904-4086804370-1001\...\Policies\Explorer: [HideClock] 0
    HKU\S-1-5-21-4197729374-2725245904-4086804370-1001\...\Policies\Explorer: [NoViewContextMenu] 0
    HKU\S-1-5-21-4197729374-2725245904-4086804370-1001\...\MountPoints2: {f575fe6a-dcb4-11e2-be94-50b7c3dff8a8} - "E:\Autorun.exe"
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    URLSearchHook: [S-1-5-21-4197729374-2725245904-4086804370-1001] ATTENTION => Default URLSearchHook is missing
    Toolbar: HKU\S-1-5-21-4197729374-2725245904-4086804370-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
    FF SelectedSearchEngine: RuSearcher
    FF Extension: No Name - C:\Users\Татьяна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA78} [not found]
    FF Extension: No Name - C:\Users\Татьяна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA78} [not found]
    FF Extension: No Name - C:\Users\Татьяна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA78} [not found]
    CHR DefaultSearchURL: Default -> hxxp://rusearcher.com/search.php?us=searcher&pcid=AD19C9F0-009A-4EF6-8203-48CB9075E019&pid=200&query={searchTerms}&sc=cc
    CHR DefaultSuggestURL: Default -> hxxp://rusearcher.com/suggest.php?query={searchTerms}
    OPR Extension: (coupondo) - C:\Users\Татьяна\AppData\Roaming\Opera Software\Opera Stable\Extensions\ikihdpjgbomalcdgfdbkeodegggogdfk [2015-10-14]
    2015-10-12 13:10 - 2015-10-16 21:43 - 00000000 ____D C:\Users\Татьяна\AppData\Local\coupondo
    2015-10-12 13:10 - 2015-10-12 13:10 - 00000824 _____ C:\Users\Public\Desktop\ZaxarGameBrowser.lnk
    2015-10-12 13:10 - 2015-10-12 13:10 - 00000000 ____D C:\Users\Татьяна\AppData\Roaming\Searcher
    2015-10-12 13:10 - 2015-10-12 13:10 - 00000000 ____D C:\Users\Татьяна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\coupondo
    2015-10-09 15:03 - 2015-10-09 15:03 - 00005806 _____ C:\WINDOWS\System32\Tasks\RestoreSearch
    2015-10-09 15:02 - 2015-10-17 19:04 - 00000000 ____D C:\Users\Татьяна\AppData\Local\valuablecoupons
    2015-10-09 15:02 - 2015-10-11 20:18 - 00000000 ____D C:\Users\Татьяна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\valuablecoupons
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.


    У вас установлены два или три антивируса,оставьте только один,остальные удалите и зачистите остатки по инструкции:
    Чистка системы после некорректного удаления антивируса

    Повторите лог FRST
     
    Последнее редактирование модератором: 17 окт 2015
    МАС-72 нравится это.
  9. Rusikone
    Оффлайн

    Rusikone Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    сделал как сказали
     

    Вложения:

    • Fixlog(2).txt
      Размер файла:
      18,2 КБ
      Просмотров:
      1
    • Fixlog.txt
      Размер файла:
      19,2 КБ
      Просмотров:
      2
    • ~ESETUninstaller.log
      Размер файла:
      22 КБ
      Просмотров:
      1
  10. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979

    + у вас так же следы norton и mbam,тоже дочистите.
     
  11. Rusikone
    Оффлайн

    Rusikone Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    не пойму чем их чистить, среди предлагаемых утилит нет производителей norton и mbam:Dntknw:
     

    Вложения:

    • Shortcut.txt
      Размер файла:
      58 КБ
      Просмотров:
      4
    • Addition.txt
      Размер файла:
      51 КБ
      Просмотров:
      4
    • FRST.txt
      Размер файла:
      56 КБ
      Просмотров:
      5
  12. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.953
    Последнее редактирование модератором: 19 окт 2015
    Kиpилл нравится это.
  13. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    +
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32" /v "egui" /f
    Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32" /v "Timestasks" /f
    Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32" /v "ZaxarGameBrowser" /f
    Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32" /v "coupondo" /f
    Reg: reg export "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32" C:\FRST\Quarantine\quarantine.log
    FF DefaultSearchEngine: RuSearcher
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.


    Запаковываем папку C:\FRST\Quarantine\ в архив с паролем virus и высылаем архив с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    simantec
    --- Объединённое сообщение, 19 окт 2015, Дата первоначального сообщения: 19 окт 2015 ---
    + покажите какие расширения установлены в firefox
     
Статус темы:
Закрыта.

Поделиться этой страницей